Bezpečnost v uplynulém týdnu: prolomení IM a opravy Microsoftu

Bezpečnostní aktuality

Opera

Verze: 9.x
Riziko: (střední)
Jak se můžete dočíst například na níže odkazovaných stránkách bezpečnostního serveru Secunia, byla v populárním webovém prohlížeči Opera objevena nová zranitelnost, která se projevuje na systémech Linux, Solaris a FreeBSD. Základem je rozšíření v podobě pluginu Adobe Flash Player, bližší podrobnosti však zatím nebyly publikovány. Postiženy jsou prohlížeče Opera starší než verze 9.20, doporučené řešení proto spočívá v přechodu právě na tuto variantu.
Další informace: Secunia.com

Drupal

Verze: 4.6.x-1.*, 4.7.x-1.*
Riziko: (vysoké)
Oblíbený publikační systém Drupal je podle nejnovějšího oznámení náchylný na zranitelnost, jež může vyústit v XSS útok. Základní kámen úrazu spočívá v modulu dba, který nedostatečně ošetřuje zpracovávaná data. Doporučené řešení spočívá v instalaci nejnovější verze Drupalu.
Další informace: Drupal.org

ICQ

Verze: 5.1
Riziko: (nízké)
V tuzemsku nerozšířenější instant messenger ICQ je náchylný na zranitelnost, jež má původ v nedostatečném ošetření funkce pro přenos souborů mezi dvěma uživateli. Přesněji se jedná o známý problém procházení vnořených adresářů (tzv. directory traversal útok), kdy se útočníkovi otevírá prostor pro uložení libovolných souborů do počítače vyhlédnuté oběti. Podobná zranitelnost postihuje také AIM, uživatelé ICQ by měli být chráněni automatickým doručením odpovídající opravy.
Další informace: Idefense.com

Opravy společnosti Microsoft

Minulé úterý bylo z pohledu společnosti Microsoft opět věnováno vydání pravidelných každoměsíčních oprav pro chyby různých produktů. První, která ale světlo světa výjimečně spatřila již týden předtím, je popsána v security bulletinu MS07–17 a týká se především poměrně hojně medializovaného kritického problému se zneužitím animovaných kurzorů v systémech Windows.

Kritický přívlastek získala také oprava v security bulletinu MS07–18, jež se zaměřuje na záplatování chyby v CMS, která mohla posloužit pro spuštění útočníkova vlastního kódu. Speciálně zranitelnosti ve Windows XP SP2 je věnován obsah MS07–19, přesněji kritickému nedostatku v komponentě Universal Plug and Play. Dvacáté pořadové číslo v tomto roce, a tedy hlavičku MS07–20, obdržela chyba v Microsoft Agent a konečně poslední kritická zranitelnost poslední várky je popsána v MS07–21 – tématem je chyba CSRSS různých verzí systému Windows. „Pouze“ důležitý přívlastek si vysloužila oprava v MS07–22, která popisuje možnost eskalace uživatelských práv v systémech Windows.

Kdybyste chtěli zalistovat zahraničními články na téma bezpečnosti, které v uplynulém týdnu vyšly online, můžete zkusit například tyto:

How to avoid falling into the phishing hole (Networldworld­.com)
Několik rad a tipů pro vyhnutí se phishingovým lákadlům.

Microsoft: Word 2007 crashes aren't a bug, they're a feature (Computerworld­.com)
Ne každá chyba je oficiálně přiznána jako chyba…

Microsoft zero-days said to target Office and Windows (Theregister.co­.uk)
Nekončící příběh zranitelností v Microsoft Office.

Bezpečnostní software zdarma

Messenger Key

Homepage: Lostpassword.com, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:

Ze stránek Slunečnice si v rámci bezpečnostního softwaru zdarma můžete stáhnout například zajímavou aplikace Messenger Key, která slouží pro rekonstrukci hesel nejznámějších instant messengerů. Podporovány jsou profily ICQ, MSN Messenger, Google Talk a Yahoo Messenger, obnovení přitom z nechráněného souboru s profilem probíhá prakticky okamžitě (podobnou funkčnost nabízejí také ostatní aplikace podobného zaměření).